Souvenez-vous, le mois dernier, les mises à jour Windows étaient à l'origine d'un problème sur les contrôleurs de domaine Active Directory ! À cause de ce problème, les serveurs redémarraient de façon intempestive ! Désormais, Microsoft a corrigé ce bug. Faisons le point.

Pour rappel, c'est le service LSASS de Windows qui était le cœur du problème puisqu'il se mettait à consommer trop de mémoire, ce qui le faisait planter. Puisqu'il s'agit d'un service critique sous Windows, s'il ne répond plus, cela entraîne un redémarrage du système. C'est exactement ce qu'il se passait sur les contrôleurs de domaine, comme l'avait précisé Microsoft : "Selon la charge de travail de vos DCs et le temps écoulé depuis le dernier redémarrage du serveur, LSASS peut augmenter continuellement l'utilisation de la mémoire avec le temps et le serveur peut ne plus répondre ou redémarrer automatiquement."

En attendant un correctif officiel, Microsoft avait introduit une solution de contournement (qui ne semble pas fonctionner chez tout le monde). Cette solution nécessite de configurer le Registre des contrôleurs de domaine, en exécutant la commande ci-dessous en tant qu'admin pour définir l'option à "KrbtgtFullPacSignature" à "0" :

reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

Désormais, c'est la mise à jour de décembre 2022 qui vient directement corriger ce bug sous Windows. Microsoft l'a confirmé de manière officielle : "Si vous avez déjà corrigé vos contrôleurs de domaine, la mise à jour de sécurité du 13 décembre 2022 devrait résoudre la fuite de mémoire connue qui se produit actuellement dans LSASS.exe."

Pour rappel, les versions suivantes de Windows Server étaient concernées : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, et Windows Server 2008 SP2.

En fonction de votre version, voici la mise à jour à installer :

• Windows Server 2019 : KB5021237
• Windows Server 2016 : KB5021235
• Windows Server 2012 R2 : KB5021294
• Windows Server 2012 : KB5021285
• Windows Server 2008 R2 : KB5021291
• Windows Server 2008 : KB5021289

À vos mises à jour !

Source

L'article Redémarrage intempestifs des contrôleurs de domaine : Microsoft a corrigé le bug lié à LSASS ! est disponible sur IT-Connect : IT-Connect.

Suite à la sortie du nouveau Patch Tuesday, de premiers retours sont effectués par les utilisateurs qui ont déjà installé les nouvelles mises à jour. Cette fois-ci, il y a un problème avec les hyperviseurs Hyper-V et plus particulièrement avec les cartes réseau. Faisons le point.

Ce nouveau bug connu chez Microsoft se produit lors de la configuration d'une machine virtuelle sur un hôte Hyper-V où la dernière mise à jour est installée, à savoir la KB5021237 ou la KB5021249, en fonction de la version du système. À chaque fois, le problème est lié au réseau, et plus précisément, à l'ajout d'une interface réseau à la VM. Voici les erreurs que vous pouvez rencontrer :

• Échec lors de la création d'une nouvelle VM avec un nouvel adaptateur réseau
• Échec sur le SLB Load Balancer ou SDN RAS Gateway avec une erreur EthernetConnection
• Échec lors de l'ajout d'un adaptateur réseau à une VM existante
• Erreur EthernetConnection lors d'une live migration

Tout le monde n'est pas impacté par ce bug, car il concerne uniquement les environnements gérés par SDN via System Center Virtual Machine Manager (SCVMM). Si vous utilisez un hôte Hyper-V autonome, ou un cluster Hyper-V, non interfacé à une instance SCVMM, vous n'êtes pas concerné par ce bug.

Les machines virtuelles existantes avec des interfaces réseau virtuelles existantes ne sont pas affectées non plus, Microsoft le précise bien : "Les VM existantes avec des adaptateurs réseau existants ne devraient pas avoir de problèmes de connexion après l'installation de cette mise à jour, seuls les nouveaux adaptateurs réseau créés après l'installation de cette mise à jour sont concernés."

Quelles sont les versions de Windows affectées ?

Bien que le rôle Hyper-V soit disponible sur Windows Server, sur Windows 10 et sur Windows 11, ce sont bien les serveurs Hyper-V sous Windows Server 2019 et Windows Server 2022 qui sont affectés, ainsi que les environnements sous Azure Stack HCI.

À l'heure actuelle, la solution n'est pas de désinstaller la nouvelle mise à jour puisque Microsoft a mis en ligne une solution de contournement. Sur chaque hôte Hyper-V managés par SCVMM les commandes suivantes doivent être exécutées immédiatement après l'installation de la mise à jour :

$lang = (Get-WinSystemLocale).Name
C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\en-US\VfpExt.mfl
C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\VfpExt.mof

Puisque l'on est sur SCVMM, Microsoft a mis en ligne un script prêt à l'emploi qui peut être déployé sur plusieurs hôtes. Toutes les infos sont disponibles ici. Un correctif verra le jour prochainement.

Source

L'article Mise à jour de décembre 2022 : des problèmes avec les cartes réseaux sur les hôtes Hyper-V est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment désactiver les protocoles TLS 1.0 et TLS 1.1 sur des machines Windows à l'aide d'une stratégie de groupe (GPO). Dans le même temps, nous allons en profiter pour activer TLS 1.2 et TLS 1.3 dans cette même GPO puisqu'il s'agit des versions recommandées.

Pour des raisons de sécurité, il est recommandé de désactiver TLS 1.0 et TLS 1.1 car il s'agit de versions obsolètes pas suffisamment sécurisées. Aujourd'hui, il convient de s'assurer que les machines de son infrastructure, aussi bien les serveurs que les postes de travail, n'utilisent pas ces versions (à tester en amont bien sûr, notamment si vous avez des applications assez anciennes).

En environnement Microsoft, Windows 11 et Windows Server 2022 sont les deux versions qui prennent en charge officiellement TLS 1.3. Pour les précédentes versions, vous ne verrez pas TLS 1.3 dans les menus du système, mais uniquement TLS 1.2.

L'objectif du jour va être de créer une GPO qui va désactiver TLS 1.0 et TLS 1.1, tout en activant TLS 1.2 et TLS 1.3. Tout cela est une histoire de clé de Registre comme nous allons le voir ensuite même si je vais commencer par évoquer un paramètre de GPO prêt à l'emploi.

II. Le paramètre "Désactiver la prise en charge du chiffrement"

Dans les paramètres de GPO, il y a un paramètre nommé "Désactiver la prise en charge du chiffrement" qui permet d'ajuster les Options Internet de la machine pour activer ou non certaines versions des protocoles SSL / TLS. Toutefois, ce paramètre ne prend pas en charge la gestion de TLS 1.3 alors il ne répond pas totalement aux besoins.

Ce paramètre se situe à l'emplacement suivant :

Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configuration Internet > Onglet Avancé

Dans la suite de ce tutoriel, on va s'intéresser aux valeurs de Registre qui vont nous permettre de configurer l'ensemble des protocoles.

III. Activer / désactiver TLS par GPO

À partir de la console de gestion des stratégies de groupe, nous allons créer une nouvelle GPO. Pour ma part, j'appelle cette GPO "Sécurité - Désactiver TLS 1.0 et TLS 1.1". Ensuite, nous devons éditer cette GPO afin d'accéder à cet emplacement :

Configuration ordinateur > Stratégies > Préférences > Paramètres Windows > Registre

Ici, vous devez faire un clic droit puis "Nouveau" et "Elément Registre" afin d'ouvrir l'assistant qui permet de créer un nouvel élément. Nous devons créer 4 valeurs dans le Registre pour chaque version de TLS pour configurer à la fois la partie serveur et la partie client. L'ensemble des valeurs seront à créer dans la ruche "HKEY_LOCAL_MACHINE".

L'objectif étant de définir la valeur "Enabled" à "0" pour désactiver la version ciblée, et de créer un autre paramètre nommé "DisabledByDefault" positionné à "1" pour désactiver cette version par défaut. Ce qui fait deux valeurs pour la partie serveur et deux valeurs pour la partie client.

Voici comment configurer la valeur "Enabled" :

• Action : Mettre à jour
• Ruche : HKEY_LOCAL_MACHINE
• Chemin d'accès de la clé : SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
• Nom de la valeur : Enabled
• Type de valeur : REG_DWORD
• Données de valeur : 00000000

Ce qui donne :

Voici comment configurer la valeur "DisabledByDefault" :

• Action : Mettre à jour
• Ruche : HKEY_LOCAL_MACHINE
• Chemin d'accès de la clé : SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
• Nom de la valeur : DisabledByDefault
• Type de valeur : REG_DWORD
• Données de valeur : 00000001

Il faut répéter l'opération pour la partie "Client" avec les mêmes valeurs. Dans la console d'édition des GPO, vous pouvez créer un premier élément et ensuite le dupliquer via un copier-coller. Au final, vous devez obtenir ce résultat pour désactiver TLS 1.0 (lignes jaunes) et TLS 1.1 (lignes orange) :

Pour aller plus loin, vous pouvez activer TLS 1.2 et TLS 1.3, sur le même principe sauf que les valeurs seront inversées pour activer les protocoles. Au final, voici le résultat :

Veillez à être rigoureux au moment de créer l'ensemble de ces clés, car on peut vite s'emmêler les pinceaux... Vous devez obtenir le même résultat que sur l'image ci-dessus.

La GPO est prête, il ne reste plus qu'à l'appliquer et la tester... Ce qui aura pour effet de créer toutes les valeurs dans le Registre Windows.

Vous pouvez aussi procéder avec un script qui manipule le Registre Windows si vous préférez. Pour vous aider, consultez cet article :

• Manipuler le Registre Windows avec PowerShell

IV. Conclusion

En attendant que Microsoft publie un nouveau paramètre de GPO qui permette de gérer plus facilement l'ensemble des versions de TLS, vous pouvez créer ces valeurs dans le Registre Windows pour avoir une configuration homogène sur vos machines.

L'article Windows : comment désactiver TLS 1.0 et TLS 1.1 par GPO ? est disponible sur IT-Connect : IT-Connect.

Lors de la compétition de hacking GeekPwn 2022, un chercheur en sécurité a identifié une vulnérabilité qui affecte les produits VMware. Pas n'importe quel produit puisque l'on parle de VMware ESXi, VMware Workstation et VMware Fusion, trois produits phares de l'éditeur américain.

Yuhao Jiang, chercheur en sécurité chez Ant Security, a fait la découverte de cette faille de sécurité identifiée avec la référence CVE-2022-31705. Grâce à elle, il a remporté le premier prix lors del a compétition de hacking GeenPwn 2022, organisée en chine par le Tencent Keen Security Lab.

Résultat, VMware a mis en ligne le bulletin de sécurité VMSA-2022-0033 dans lequel l'éditeur évoque cette vulnérabilité et les produits affectés. Ainsi, on peut voir que cette vulnérabilité affecte les dernières versions des solutions VMware, comme ESXi 8.0 (mais aussi ESXi 7.0) et Workstation Pro 17. D'ailleurs, cette faille affecte aussi bien Workstation Pro que Workstation Player (gratuit).

Au sein de son bulletin de sécurité, l'éditeur américain explique que cette faille se situe dans le contrôleur USB 2.0 qui est associé aux machines virtuelles (peu importe le système invité).

En fonction du produit affecté, cette faille de sécurité hérite d'un score CVSS compris entre 5,9 et 9,3 sur 10. Un attaquant disposant de privilèges d'administration locale sur une machine virtuelle peut exploiter cette faille pour exécuter du code malveillant dans le processus VMX de l'hôte qui héberge la machine virtuelle.

Avec VMware Workstation et Fusion, cela permet d'exécuter du code sur la machine physique qui héberge les VMs, tandis qu'avec ESXi, l'impact est moindre, car il y a une sandbox. La bonne nouvelle, c'est que l'impact de cette faille est limité sur les environnements de production basés sur un hyperviseur VMware ESXi.

Une fois de plus, j'ai envie de dire : à vos mises à jour ! Consultez le lien ci-dessus pour accéder aux informations sur les nouvelles versions à installer pour se protéger.

Source

L'article VMware corrige une faille dans ESXi, Workstation et Fusion découverte lors du GeekPwn 2022 est disponible sur IT-Connect : IT-Connect.

L'éditeur Citrix a émis une alerte de sécurité au sujet d'une vulnérabilité critique ! Les administrateurs sont invités à mettre à jour leurs instances Citrix ADC et Citrix Gateway dès que possible pour se protéger ! Faisons le point !

Associée à la référence CVE-2022-27518, cette faille de sécurité est activement exploitée par des cybercriminels dans le but de compromettre des entreprises ! En effet, la NSA estime que cette vulnérabilité est exploitée par le groupe de pirates APT5 (appelé aussi UNC2630 et MANGANESE), soutenu par l'état chinois. De son côté, Citrix n'a pas donné de détails sur la façon dont cette faille est utilisée. La NSA a mis en ligne un rapport complet au sujet de l'exploitation de cette vulnérabilité par le groupe APT5.

Au même titre que la vulnérabilité qui affecte les firewalls Fortinet, celle-ci n'est pas à négliger, car elle permet à un attaquant non authentifié d'exécuter des commandes à distance sur des machines vulnérables et d'en prendre le contrôle. On comprend mieux pourquoi Citrix souhaite que les admins installent la dernière version en urgence.

Citrix ADC et Citrix Gateway : quelles sont les versions impactées ?

Citrix a mis en ligne une liste des versions impactées par cette vulnérabilité :

• Citrix ADC et Citrix Gateway 13.0 avant la version 13.0-58.32
• Citrix ADC et Citrix Gateway 12.1 avant la version 12.1-65.25
• Citrix ADC 12.1-FIPS avant la version 12.1-55.291
• Citrix ADC 12.1-NDcPP avant la version 12.1-55.291

Les versions 13.1 de Citrix ADC et Citrix Gateway ne sont pas affectées. Pour les autres versions, il convient de mettre à jour vers la nouvelle version de chaque branche pour se protéger contre cette faille de sécurité.

Au-delà d'utiliser une version vulnérable, il faut que l'instance soit configurée d'une certaine façon pour que l'attaquant puisse exploiter cette vulnérabilité. Voici les précisions de Citrix : "Les clients qui utilisent une version affectée avec une configuration SAML SP ou IdP sont priés d'installer immédiatement les versions recommandées, car cette vulnérabilité a été identifiée comme critique. Aucune solution de contournement n'est disponible pour cette vulnérabilité.". Ici, Citrix fait référence aux fournisseurs SAML Service Provider et SAML Identity Provider.

En regardant de plus près le fichier de configuration "ns.conf", vous pouvez savoir si vous avez activé l'une de ces deux options si vous trouvez ces lignes :

add authentication samlAction
add authentication samlIdPProfile

Sur le site de Citrix, vous pouvez consulter ces deux liens pour avoir des informations sur la mise à jour de sécurité et le bulletin de sécurité

• Citrix - Mise à jour de sécurité
• Citrix - CVE-2022-27518

Source

L'article Faille critique dans Citrix ADC et Gateway : une mise à jour à installer en urgence ! est disponible sur IT-Connect : IT-Connect.